Операторов информационных систем обяжут информировать о компьютерных инцидентах.
Премьер-министр РФ Дмитрий Медведев подписал распоряжение о внесении в Госдуму законопроекта об установлении требований о защите информации в информационных системах, используемых органами государственной власти.
Проект закона «О внесении изменений в статью 16 Федерального закона "Об информации, информационных технологиях и о защите информации"» представлен Министерством обороны РФ. Соответствующий документ опубликован на сайте правительства.
Согласно документу, в настоящее время закон «Об информации, информационных технологиях и о защите информации» (Федеральный закон №149-ФЗ) не предусматривает «прохождение какой-либо процедуры для отнесения информационной системы к государственным информационным системам».
Как отмечается в пояснительной записке к документу, «значительные объемы данных о гражданах, сведения в экономической, социальной, политической, правоохранительной и других областях деятельности государства, подлежащих защите, обрабатываются государственными органами с использованием информационных систем, которые не относятся к государственным информационным системам», что приводит к снижению уровня защищенности данных при взаимодействии между различными инфосистемами.
Авторы законопроекта предлагают внести изменения в ч. 5 ст. 16 Федерального закона №149-ФЗ, предусматривающие установление требований о защите информации, содержащихся в других инфосистемах, в которых обрабатываются данные, принадлежащие госорганам. Документ также предлагает дополнить ст. 16 вышеуказанного закона положениями, обязывающими операторов информационных систем обеспечивать функционирование систем защиты информации в соответствии с требованиями, установленными ч. 5 ст. 16 Федерального закона №149-ФЗ.
Кроме того, операторов обяжут информировать о компьютерных инцидентах.
«Информирование необходимо для анализа причин возникновения инцидента, по результатам которого определяется достаточность установленных требований о защите информации», - поясняется в сопроводительной записке к проекту закона.
Петр Гусятников, юрист, старший управляющий партнер юридической компании PG Partners
Данный документ является продолжением процесса последовательного выстраивания эшелонированной защиты информации, которая носит ключевой характер для функционирования государственных органов. Все началось с новой доктрины информационной безопасности и сейчас правительство переходит на уровень ниже — к обеспечению информационной безопасности уже конкретных государственных органов. Разумеется, до завершения этого процесса еще далеко, так как надо будет сделать следующий шаг и перейти от юридических документов — законов и подзаконных актов к реальному обеспечению безопасности информации. Но основой данного процесса служит именно юридическое закрепление всех необходимых базовых тезисов.
Если попробовать перевести на бытовой язык расплывчатые формулировки о том, что «что значительные объёмы данных о обрабатываются государственными органами с использованием информационных систем, которые не относятся к государственным информационным системам», имеется в виду следующее. Многие государственные и муниципальные органы до сих пор используют открытые зарубежные сервисы для хранения информации и документов. Например, государственные чиновники разного уровня могут использовать почту на @gmail.com или использовать Google Docs для обмена служебной информацией, в том числе составляющей государственную или иную тайну. Кто эту информацию может прочитать или регулярно читает — вопрос открытый, ответ на него знает только Сноуден. Но однозначно, что государство будет последовательно с этим бороться и обеспечивать обмен информацией только с помощью специально предназначенных для этого защищенных средств.
Иван Мершков, технический директор «СёрчИнформ»
Фактически проект призывает всех участников обмена данными использовать средства информационной защиты, если это касается сведений, первоначальным обладателем которых являются государственные органы. И это здравая мысль, ведь предъявлять требования к одной структуре, тогда как данные остаются уязвимы в других, бессмысленно.
Необходимость принятия подобных мер – налицо. Вспомнить, хотя бы 67 гигабайт из архивов упраздненного ФСКН, которые до сих пор являются предметом торга в интернете. К секретной базе с файлами («Иркутск ВИЧ-инфицированные», «Притоны Нижнего Новгорода», «Наркоманы Хабаровска» и т.д.) однозначно имели доступ сотрудники из регионов и, наверняка, ряд других структур, например, местные ЧОПы. Если раннее законом была предусмотрена только мера наказания за умышленное или неумышленное разглашение таких данных, то сейчас прорабатываются технические требования, которые заведомо снизят риски.
И вместе с тем остаются вопросы: какими средствами и за чей счет будет реализовываться проект? И, конечно, как скоро это произойдет?
Владимир Лебедев, директор по развитию бизнеса Stack Group
Внесение изменений в ФЗ-149 об расширении списка информационных систем, на которых могут распространяться дополнительные требования к обеспечению информационной безопасности, может достаточно серьезно затронуть коммерческие организации, в сферу деятельности которых входит создание, обеспечение функционирования и обеспечение информационной безопасности систем, созданных под нужды государственных органов. Как пример, если раньше требования по обязательной аттестации информационных систем на соответствие требованиям по защите персональных данных в соответствии с 17 приказом ФСТЭК распространялись только на государственные и муниципальные органы и их информационные системы, то в случае внесения данных изменений под требования обязательной аттестации могут попасть ИСПДн, создаваемые в их интересах, но не имеющих статус государственных информационных систем. В целом данные изменения могут положительно повлиять на развитие отрасли информационной безопасности.
Алексей Головченко, член Генерального Совета «Деловой России», управляющий партнер юридической компании «ЭНСО»
Данный законопроект является весьма своевременной и правильной мерой защиты государственной информации в ситуации развязывания холодной войны. Такого рода законы безусловно нужны. Государственная информация должна оставаться конфиденциальной независимо от того, при помощи каких информационных систем они обрабатываются. В особенности, учитывая тот факт, что на данный момент 90% ПО и технического оснащения являются продуктами иностранной разработки.
Я считаю, для государственных нужд также необходимо разработать и использовать отечественное программное обеспечение, чтобы информация однозначно оставалась конфиденциальной и не распространялась за пределы нашей страны. Если речь идет об использовании иностранного ПО, то в таком случае необходимо принимать дополнительные меры защиты информации. Например, создавать для правительства, специально приспособленные локальные сети, обособленные от сети Интернет, с возможностью передачи информации между ними. Такие сети требуются опять же для большей защищенности государственной информации.
На мой взгляд, сейчас то время, когда законы, направленные на защиту государственной информации, действительно востребованы. Меры защиты такой информации требуется переводить в разряд нормативно-правовых документов, в первую очередь для обеспечения безопасности государства в целом.
Сергей Воронин, заместитель генерального директора по юридическим вопросам АНО Экспертный центр «Консультант»
Данное постановление, если так можно выразиться, выходит в никуда. Поскольку операторы данных, системы защиты и обрабатываемые данные по своей сути, наполнению и принципам работы абсолютно разные, то и защита данных должна соответствовать угрозам. Использовать единый принцип для всей можно в том случае, если будет существовать возможность создания единых средств защиты, например, Firewall или систем распределения доступа, когда все данные стекаются в единые центры доступа информации.
Вышеуказанное постановление затрагивает одну важную деталь - защищенность данных в государственных учреждениях. Действительно, сейчас базы данных можно скачать с приватных сайтов, непубличных торрент-треккеров. Так, полная база ФССП и ВИЧ-инфицированных людей была доступна к продаже на протяжении длительного времени, причем часть данных скачивалась абсолютно бесплатно.
Но есть небольшое отступление от данного фрагмента. Оно предполагает получение доступа к информации извне, притом не везде в стране имеются необходимые технические возможности и свободный доступ в интернет для общения с представителями государственной системой. Поэтому сначала необходимо обеспечить информационное и техническое соответствие требований, а только потом вносить данные изменения. Считаю, что исполнение данного постановления следует отложить на 2-3 года.
Дарья Абрамова, директор по маркетинговым коммуникациям Orange Business Services в России и СНГ
Целью данного законопроекта является установление требований по созданию систем защиты информации, обладателями которой являются государственные органы, при обработке такой информации в сторонних (негосударственных) информационных системах, а также обязательств по информированию уполномоченного органа.
При этом действие закона распространяется на случаи обработки информации по договору, а также на случаи обработки информации на иных законных основаниях. Представляется, что последнее оставляет возможность для расширительного понимания типов информационных систем, которые должны будут соответствовать требованиям закона. Это может привести к тому, что все, кто пользуется (обрабатывает) в том или ином виде информацией из государственных информационных систем, попадут под сферу действия данного закона и будут обязаны информировать уполномоченный орган и создавать системы защиты.
Одно найти легче, чем другое. Спойлер: это не темная материя